Ciberamenazas contra entornos empresariales - Una guía de aproximación para el empresario - INCIBE
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Ciberamenazas contra entornos empresariales Una guía de aproximación para el empresario
íNDICE INCIBE_PTE_AproxEmpresario_016_Amenazas-2020-v1
1. INTRODUCCIÓN........................................................................................................09
2. INGENIERÍA SOCIAL Y CORREO ELECTRÓNICO, BASE DE LA MAYORÍA
DE INCIDENTES..................................................................................................................10
2.1. ¿Qué es la ingeniería social?................................................................ 10
2.1.1. Fases de un ataque de ingeniería social.............................................. 11
2.2. ¿El correo electrónico, principal medio de comunicación
fraudulenta?................................................................................................. 12
2.3. Pautas para identificar un ataque de ingeniería social................... 13
3. PRINCIPALES FRAUDES Y CIBERAMENAZAS...........................................................18
3.1. Fugas de información........................................................................... 18
3.1.1. ¿Qué es una fuga de información?....................................................... 18
3.1.2. Escenarios posibles................................................................................ 19
3.1.3. ¿Qué hacer en caso de sufrir una fuga de información?................... 20
3.1.4. ¿Cómo reducir el riesgo?....................................................................... 21
3.2. Ataques de tipo phishing...................................................................... 22
3.2.1. ¿Qué es un phishing?.............................................................................. 22
3.2.2. ¿Cómo identificar un ataque de phishing y poder prevenirlo?......... 27
3.2.3. ¿Qué hacer en caso de sufrir un ataque de phishing?....................... 29
3.3. Fraude del CEO (spear phishing)........................................................... 30
3.3.1. ¿Qué es el fraude del CEO?.................................................................... 30
3.3.2. ¿Cómo identificar un ataque de fraude del CEO y poder
prevenirlo?........................................................................................................ 32
3.3.3. ¿Qué hacer en caso de sufrir un ataque de fraude del CEO?........... 34
3.4. Fraude de RR.HH................................................................................... 34
3.4.1. ¿Qué es el fraude de RR.HH?................................................................. 34
íNDICE 3.4.2. ¿Cómo identificar un ataque de fraude de RR.HH. y poder prevenirlo?........................................................................................................ 35 3.4.3. ¿Qué hacer en caso de sufrir un ataque de fraude de RR.HH?......... 35 3.5. Sextorsión.............................................................................................. 35 3.5.1. ¿Qué es la sextorsión?........................................................................... 35 3.5.2. ¿Cómo identificar un ataque de sextorsión y poder prevenirlo?..... 38 3.5.3. ¿Qué hacer en caso de sufrir un ataque de sextorsión?................... 38 3.6. Ataques contra la página web corporativa....................................... 39 3.6.1. ¿Qué es un ataque contra la página web corporativa?..................... 39 3.6.2. ¿Cómo evitar los ataques contra la página web corporativa?.......... 41 3.6.3. ¿Qué hacer en caso de sufrir un ataque contra la web corporativa?...................................................................................................... 43 3.7. Ransomware........................................................................................... 46 3.7.1. ¿Qué es un ataque de ransomware?..................................................... 46 3.7.2. ¿Cómo evitar un ataque de ransomware?........................................... 47 3.7.3 ¿Qué hacer en caso de sufrir un ataque de ransomware?.................. 48 3.8. Fraude del falso soporte de Microsoft............................................... 50 3.8.1. ¿Qué es el fraude del falso soporte de Microsoft?............................. 50 3.8.2. ¿Cómo evitar el fraude del falso soporte de Microsoft?.................... 52 3.8.3. ¿Qué hacer en caso de sufrir un fraude del falso soporte de Microsoft?.......................................................................................................... 52 3.9. Campañas de correos electrónicos con malware.............................. 53 3.9.1. ¿Qué son las campañas de correos electrónicos con malware?....... 53 3.9.2. ¿Cómo evitar las campañas de correos electrónicos con malware?............................................................................................................ 56 3.9.3. ¿Qué hacer en caso de sufrir una infección por malware?................ 58 3.10. Ataques de denegación de servicio.................................................. 58 3.10.1. ¿Qué son los ataques de denegación de servicio?........................... 59 3.10.2. ¿Cómo evitar los ataques de denegación de servicio?.................... 60 3.10.3. ¿Qué hacer en caso de un ataque de denegación de servicio?..... 61 3.11. Ataques de adware............................................................................. 62 3.11.1. ¿Qué son los ataques de adware?...................................................... 62
íNDICE
3.11.2. ¿Cómo evitar los ataques de adware?................................................ 63
3.11.3. ¿Qué hacer en caso de sufrir un ataque de adware?....................... 63
3.12. Ataque de suplantación de proveedores......................................... 64
3.12.1. ¿Qué son ataques de suplantación de proveedores?...................... 64
3.12.2. ¿Cómo evitar los ataques de suplantación de proveedores?......... 67
3.12.3. ¿Qué hacer en caso de sufrir un ataque de suplantación
de proveedores?............................................................................................... 68
4. DECÁLOGO DE RECOMENDACIONES DE SEGURIDAD............................................ 69
5. REFERENCIAS.............................................................................................................71
íNDICE DE FIGURAS Ilustración 1 Fases de un ataque de ingeniería social................................. 11 Ilustración 2 Correo de tipo phishing con varios errores ortográficos y gramaticales............................................................................. 15 Ilustración 3 Muestra de correo electrónico fraudulento sin errores ortográficos................................................................................... 16 Ilustración 4 Campaña de correos fraudulentos solicitando el pago de un supuesto paquete.................................................................... 24 Ilustración 5 Campaña de phishing solicitando información confidencial alegando un supuesto fortalecimiento de la seguridad....... 25 Ilustración 6 Campaña de phishing por SMS................................................. 26 Ilustración 7 Ejemplo de correo electrónico fraudulento........................... 27 Ilustración 8 Correo inicial del ataque del fraude del CEO......................... 31 Ilustración 9 Respuesta del empleado objetivo del ataque del fraude del CEO............................................................................................ 31 Ilustración 10 Continuación del ataque del fraude del CEO....................... 32 Ilustración 11 Pautas para identificar fraudes del CEO............................... 32 Ilustración 12 Correo de tipo fraude de RR.HH............................................ 34 Ilustración 13 Correo electrónico de sextorsión.......................................... 36 Ilustración 14 Segunda muestra sextorsión................................................. 37
íNDICE DE FIGURAS Ilustración 15 Pasos para recuperar la actividad después de sufrir un incidente de seguridad.................................................................... 44 Ilustración 16 Correo electrónico malicioso que distribuye malware por medio de un enlace malicioso.................................................. 47 Ilustración 17 Pasos para aislar un incidente de seguridad de tipo ransomware............................................................................................... 49 Ilustración 18 Acciones a seguir en caso de sufrir un incidente de falso soporte de Microsoft.............................................................................. 52 Ilustración 19 Campaña de malware por correo electrónico simulando un proceso extrajudicial............................................................... 54 Ilustración 20 Campaña de malware simulando una notificación bancaria....................................................................................... 55 Ilustración 21 Campaña de malware adjunto en el correo utilizando falsos presupuesto en Excel......................................................... 55 Ilustración 22 Documento de Microsoft Office protegido........................... 57 Ilustración 23 Alerta de seguridad, documento Microsoft Office protegido................................................................................................ 57 Ilustración 24 Diagrama ataque DoS............................................................. 59 Ilustración 25 Diagrama ataque DDoS........................................................... 59 Ilustración 26 Fases para mitigar un incidente de seguridad de denegación de servicio............................................................................... 61
íNDICE DE FIGURAS Ilustración 27 Email spoofing como origen del ataque de suplantación de proveedor............................................................................. 65 Ilustración 28 Ataque a la empresa proveedora como origen del incidente...................................................................................................... 66 Ilustración 29 Ataque al proveedor y solicitud de cambio de número de cuenta............................................................................................ 67
íNDICE DE TABLAS Tabla 1 Resumen de acciones para gestionar una fuga de información.................................................................................................. 21
1 INTRODUCCIÓN
¿Alguna vez te has preguntado qué sucedería si los ciberdelincuentes tuvieran
acceso al correo electrónico corporativo, a la web de la empresa donde se
promocionan los productos y servicios disponibles, o que simplemente toda la
información de la empresa no pudiera ser accesible a causa de una infección
por malware? La respuesta es simple, la capacidad de la empresa para continuar
con su actividad y la confianza de los clientes se podría ver seriamente afectada,
y por lo tanto su continuidad. Además, ciertos incidentes de seguridad, como
aquellos que afectan a datos personales, podrían suponer consecuencias
legales y sanciones por parte de las administraciones competentes.
Cualquier empresa, ya sea una gran corporación o una pequeña pyme, gestiona
información de gran valor no solo para la propia empresa, sino también para
los ciberdelincuentes. Además, no solamente la información es el objetivo de
los ciberdelincuentes, los sistemas que la gestionan también son de su interés
ya que pueden ser utilizados para perpetrar nuevos fraudes o simplemente para
extorsionar a la empresa propietaria.
Por todo ello, conocer las principales ciberamenazas que pueden afectar
a las empresas se hace vital para poder identificarlas activamente y por
lo tanto poder evitarlas. La siguiente guía te mostrará de forma clara y con
ejemplos las principales ciberamenazas, así como la vía de identificación y qué
hacer en caso de ser víctima de una de ellas.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
9
2 INGENIERÍA SOCIAL Y
CORREO ELECTRÓNICO,
BASE DE LA MAYORÍA DE
INCIDENTES
La gran mayoría de incidentes de seguridad que afectan a las empresas tienen en
común dos factores: el correo electrónico y comunicaciones que utilizan diferentes
técnicas de ingeniería social. Aprender a identificar este tipo de comunicaciones
fraudulentas será clave para reducir la posibilidad de sufrir un incidente de seguridad.
2.1. ¿Qué es la ingeniería social?
Películas y series televisivas generalmente muestran a los ciberdelincuentes como
auténticos prodigios de la informática y la ciberseguridad, capaces de vulnerar
cualquier sistema explotando sus vulnerabilidades. En este caso, la ficción supera
claramente la realidad, en la mayoría de ocasiones los ciberdelincuentes atacan
al eslabón más importante en la cadena de la seguridad, los empleados.
Esto se debe a que los ataques basados en ingeniería social requieren mucho
menos esfuerzo que otros tipos de ataques, y por lo tanto el beneficio es mayor.
La ingeniería social [REF - 1] consiste en utilizar diferentes técnicas de
manipulación psicológica con el objetivo de conseguir que las potenciales
víctimas revelen información confidencial, o realicen cualquier tipo de acción que
pueda beneficiar al ciberdelincuente, como revelar información confidencial o
instalar software malicioso.
Los ataques basados en ingeniería social se pueden categorizar en dos tipos diferentes
en función del número de comunicaciones que debe realizar el ciberdelincuente
hasta conseguir su objetivo:
» Hunting: mediante una única comunicación los ciberdelincuentes buscan
obtener su propósito. Generalmente la técnica del hunting es utilizada en ataques
de phishing o campañas de distribución de malware. Este tipo de campañas
maliciosas son enviadas por los ciberdelincuentes de manera masiva, es decir,
sin objetivos concretos.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
102
» Farming: en este caso los ciberdelincuentes emplean
más de una comunicación con la víctima hasta
conseguir su objetivo. El farming comúnmente es utilizado
en campañas de sextorsión, fraude del CEO o de RR.HH.
2.1.1. Fases de un ataque de ingeniería social
Todos los ataques basados en ingeniería social comparten
ciertas características que hacen que el ciclo de vida sea similar
[REF - 2] para todos ellos. Saber cuáles son puede marcar la
diferencia a la hora de identificar uno de estos ataques. Pueden
distinguirse cuatro fases:
"Todos los ataques RECOLECCIÓN
basados en DE INFORMACIÓN
ingeniería social
comparten ciertas
características que MANIPULACIÓN
hacen que el ciclo de
vida sea similar para SALIDA
todos ellos." Ilustración 1 Fases de un ataque de ingeniería social
» Recolección de información. También conocida como fase de reconocimiento o footprinting,
el ciberdelincuente recaba toda la información posible sobre las potenciales víctimas del fraude,
como puede ser el correo electrónico, números de teléfono, nombres de dominio, etc.
» Manipulación. La manipulación psicológica es el punto clave en cualquier ataque de ingeniería
social. Los ciberdelincuentes cuentan con muchas armas con las que manipular a la potencial
víctima hasta conseguir sus objetivos como por ejemplo apelar a una supuesta urgencia o
retirada de un servicio. Un tipo de manipulación llevada a cabo por los ciberdelincuentes
consiste en establecer una relación de confianza mediante diferentes argucias, como nombres
de dominio falsos o suplantando la identidad de una persona u organización de confianza.
» Salida. Fase final del ataque, una vez obtenido el objetivo el ciberdelincuente intentará hacer
que el fraude no sea descubierto, ya que así el alcance será superior y por lo tanto tendrá un
impacto mayor para la empresa.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
112
En este vídeo [REF - 3] se muestra cómo un ataque basado en ingeniería social
puede llegar a comprometer la seguridad de la empresa. El ataque en cuestión
se realiza por medio de una llamada telefónica pero la base es la misma para
cualquier ataque de ingeniería social.
2.2. El correo electrónico, principal medio de comunicación fraudulenta
Los ciberdelincuentes necesitan un medio de comunicación para propagar sus
campañas fraudulentas, siendo el correo electrónico su preferido. Esto se debe
principalmente a que la gran mayoría de pymes y autónomos utilizan
habitualmente el correo electrónico como herramienta de trabajo.
Esta frecuencia en su uso es lo que vuelve a esta herramienta peligrosa, ya que
en muchas ocasiones las tareas se realizan de forma mecánica, lo que puede
provocar infecciones por malware o accesos a páginas web fraudulentas.
Cuando se diseñó el correo electrónico no se establecieron medidas de seguridad,
ya que no se pensaba que su uso se extendiera tanto. Esta falta de ciertas medidas
de seguridad es aprovechada por los ciberdelincuentes para elaborar campañas
de correos electrónicos fraudulentos más sofisticadas.
Algunas de las técnicas que usan los ciberdelincuentes para crear campañas
maliciosas son:
» Falsear la dirección del remitente (impersonalización). En los correos
electrónicos es posible falsificar la dirección de correo electrónico
del remitente, técnica a la que se denomina email spoofing [REF - 4].
Al existir la posibilidad de falsificar la dirección del remitente, es posible
hacerse pasar por una dirección de email legítima desde cualquier dominio
web por otro que sirva para los propósitos de la campaña, como por
ejemplo, el correo electrónico de un banco o cualquier, empresa, entidad u
organización de confianza.
» Cybersquatting [REF - 5]. Esta técnica maliciosa es similar al email spoofing, ya
que el propósito es suplantar el dominio web de una entidad reconocida. Pero
al contrario que la técnica anterior, el cybersquatting consiste en modifi-
car ligeramente el nombre de dominio, por ejemplo, el dominio «incibe.es»
puede ser suplantado sustituyendo la segunda «i» por una «l», de tal manera
que quedaría «inclbe.es». Si el usuario no es lo suficiente minucioso a la hora
de inspeccionar dicha información, con total seguridad podrá ser engañado. El
cybersquatting puede ser utilizado tanto para falsificar la dirección del remitente
como los enlaces a páginas web que contengan los correos fraudulentos.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
122
» Falsear enlaces. Los correos fraudulentos suelen
contener enlaces falsificados que simulan enlazar a
un sitio web legítimo cuando en realidad no es así.
Esta quizá sea la técnica más básica que pueden llevar
a cabo los ciberdelincuentes, ya que es relativamente
simple llevarla a cabo y obtiene grandes resultados.
» Adjuntar documentos maliciosos. En ocasiones las
campañas maliciosas van acompañadas de adjuntos
maliciosos que simulan ser ficheros legítimos, para ello
pueden utilizar diferentes nombres de fichero que aparentan
"Los ataques de ser facturas, imágenes, documentación, etc. Otra técnica
ingeniería social que utilizan es comprimir el archivo malicioso evitando
pueden identificarse que parezca malware cuando en realidad sí lo es. Además
ya que generalmente al comprimir los ficheros pueden pasar desapercibidos
todos ellos cuentan para los sistemas antimalware, lo que los vuelve aún más
con determinadas peligrosos. Habitualmente estas campañas hacen uso de las
características." técnicas anteriores.
2.3. Pautas para identificar un ataque de ingeniería social
Los ataques de ingeniería social pueden identificarse ya
que generalmente todos ellos cuentan con determinadas
características [REF - 6], que se explicarán a continuación:
» Remitentes desconocidos. Uno de los métodos más
fiables y simples para comprobar si un correo puede ser
legítimo o fraudulento, es analizar la dirección del remi-
tente. En ocasiones, los ciberdelincuentes utilizan cuen-
tas de correo que nada tienen que ver con la entidad
a la que supuestamente representan, ya que trata de
cuentas que han sido pirateadas o robadas previamente.
Por ejemplo, recibir un correo de una supuesta entidad
bancaria cuyo dominio web corresponde con cualquier
otro tipo de empresa es una situación sospechosa, que
indica un posible correo fraudulento. Cabe destacar que
algunas organizaciones emplean para sus correos de
promoción a empresas dedicadas al marketing por email,
haciendo que la dirección del remitente y de la entidad
a la que representa no correspondan, aunque estas co-
municaciones suelen promocionar productos y servicios
y no deberían solicitar accesos a áreas de administración.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
132
» Remitentes falseados. Como se indicó en el apartado anterior, la dirección
del remitente puede ser falseada suplantando a la entidad legítima. Comprobar
si una dirección ha sido falseada es posible analizando las cabeceras del correo.
Para ello tienes a tu disposición toda la información necesaria en el artículo
¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos [REF - 7].
En otras ocasiones, el remitente del correo es falseado utilizando la técnica del
typosquatting [REF - 8] y para evitarlo se debe comprobar minuciosamente el
nombre de dominio ya que una simple letra podría ser el origen de un incidente
de seguridad.
» Comunicaciones impersonales. En la mayoría de las ocasiones las
comunicaciones fraudulentas recibidas por correo electrónico son
impersonales, como por ejemplo «Estimado cliente, usuario, etc.». Las
comunicaciones legítimas suelen ser personales, indicando el nombre de
la persona o entidad a la que van dirigidas.
» Adjuntos sospechosos. Los ciberdelincuentes en ciertas ocasiones
adjuntan en los correos ficheros maliciosos con los que infectar con
malware los dispositivos de las víctimas. Se debe comprobar previamente la
extensión del fichero adjunto, teniendo especial cuidado con las siguientes
extensiones «.exe, .vbs, .msi, .vbs, .docm, .xlsm o .pptm». También se debe
tener especial cuidado con los ficheros comprimidos que contengan un
archivo con alguna de las extensiones anteriores.
» Mala redacción. Los ciberdelincuentes cada vez son más cuidadosos en
la redacción de los correos, la presencia de faltas de ortografía y errores
gramaticales se han vuelto más imperceptibles. La presencia de faltas de
ortografía o errores gramaticales es un síntoma de comunicación fraudu-
lenta, una entidad legítima suele cuidar mucho que las comunicaciones
estén bien redactadas. A continuación se muestran dos correos fraudulen-
tos, el primero muestra varios errores ortográficos algo que en la segunda
muestra no se detecta.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
142
Ilustración 2 Correo de tipo phishing con varios errores ortográficos y gramaticales
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
152
IIlustración 3 Muestra de correo electrónico fraudulento sin errores ortográficos
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
162
» Enlaces falseados. Los correos electrónicos en ocasiones contienen enlaces
que redirigen al usuario a una web fraudulenta, esos enlaces se pueden
falsificar para que parezca que apuntan a una web legítima cuando en
realidad no es así. Antes de acceder a un enlace, se debe verificar la web a
la que redirige. Para ello, si se sitúa el ratón encima del vínculo se mostrará
en la parte inferior de la pantalla el sitio al que realmente dirige. También se
puede copiar el destino del enlace y pegarlo en un portapapeles para verificar
el destino.
» Firmas y otros elementos en la plantilla del correo. Cuando se está
acostumbrado a los correos de una entidad en concreto, es fácil identificar
elementos comunes, como la firma de la parte inferior o el párrafo legal
referente a la LOPDGDD «Ley orgánica de protección de datos y garantía de
derechos digitales». Si esta firma o párrafo legal es diferente o directamente
no está, podría ser un síntoma de que dicha comunicación probablemente sea
fraudulenta.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
173 PRINCIPALES
FRAUDES Y
AMENAZAS
Las ciberamenazas y fraudes que pueden afectar a empresas
y autónomos son amplias, por ello conocer cuáles son, cómo
identificarlas y qué hacer en caso de sufrir uno de estos incidentes
de seguridad es muy importante para que la continuidad del
negocio no se vea afectada. A lo largo de este punto mostramos
los más relevantes y comunes.
Cuando se es víctima de cualquiera de los ataques que se enumeran
a continuación, o cualquier otro tipo de fraude, es recomendable
interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad
del Estado [REF - 9] (FCSE), aportando todas las pruebas disponibles
[REF - 10]. También se puede reportar a INCIBE-CERT por medio
del correo para evitar que otros
usuarios caigan en el fraude. Y ante cualquier duda, contactar
con la Línea de Ayuda en Ciberseguridad de INCIBE, a través del
número de marcación corta 017.
3.1. Fugas de información
Para la mayoría de empresas y autónomos la información que
gestionan es uno de sus principales activos. Si por algún motivo
esa información (datos personales, patentes, etc.) se filtrara
o hiciera pública, las consecuencias para el negocio podrían
tener un gran impacto.
3.1.1. ¿Qué es una fuga de información?
Una fuga de información o fuga de datos se produce cuando
se pierde la confidencialidad de la información de la empresa.
Dicha información solamente debería ser accesible el grupo de
usuarios autorizado dentro de la organización. El problema se
materializa cuando debido a un incidente de seguridad, dicha
información es accesible por terceras personas no autorizadas.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
183
Las fugas de información se pueden producir de dos formas diferentes [REF - 11]:
» Involuntariamente. Aunque la creencia popular supone que el motivo
principal de las fugas de información está motivado por el acceso de un
ciberdelincuente a la red de la empresa, en muchas ocasiones el origen de
la fuga se produce de forma involuntaria y no intencionada por parte de los
empleados. Algunas causas que pueden llevar a estas situaciones pasan, por
ejemplo, por enviar un correo a múltiples destinatarios sin utilizar la función de
copia oculta [REF - 12] (CCO) o perder un dispositivo móvil o de almacenamiento
(USB o disco duro) con información confidencial o personal sin cifrar.
» Deliberadamente. En otras ocasiones, las fugas de información se producen
de manera deliberada o intencionada por parte de un ciberdelincuente que
ha conseguido acceso a alguno de los sistemas de la empresa, o también
por lo que conocemos como “insider [REF - 13]”. Esto es que un exempleado
con acceso, o empleado descontento, por diferentes motivos, como vender
la información, una patente, etc., o generar una pérdida de reputación a la
empresa, realiza estas acciones.
3.1.2. Escenarios posibles
La información puede ser extraída de la empresa de multitud de formas
diferentes, algunas de las más comunes son:
» Dispositivos móviles y de almacenamiento externo. Ordenadores
portátiles, smartphones, tablets, discos duros externos o una simple memoria
USB. Todos estos dispositivos pueden ser el origen de una fuga de información
si son extraviados o robados y la información que contienen no se encuentra
cifrada [REF - 14] mediante un algoritmo con una contraseña robusta.
» El correo electrónico. Desde ataques dirigidos basados en ingeniería
social hasta fugas de información involuntaria causadas por la función de
autocompletar el destinatario o la no utilización de la CCO. El correo electrónico
es una de las herramientas más utilizada en entornos empresariales pero
también puede ser el origen de una fuga de información.
» Redes inalámbricas no confiables. Las redes inalámbricas públicas o
sin las suficientes medidas de seguridad pueden ser aprovechadas por
ciberdelincuentes para robar la información que por ella se transmite.
» Aplicaciones. Ciertas herramientas, como las aplicaciones de
almacenamiento en la nube o las herramientas colaborativas [REF - 15],
pueden ser el origen de un incidente. Si estas herramientas no son utilizadas
adecuadamente, o se utilizan sin el consentimiento de la empresa, pueden
suponer una fuga de información.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
193
» Redes sociales. Publicar información confidencial, aunque sea
involuntariamente, puede ser el origen de un incidente de seguridad si
los ciberdelincuentes acceden a ella. Por ejemplo, publicar una imagen
en la que se visualizan nombres de usuario o información confidencial.
» Malware. Troyanos, spyware, keyloggers, etc. La infección por cualquier tipo
de software malicioso podría suponer que la información de la empresa se
vea comprometida y caiga en manos de los ciberdelincuentes.
» Credenciales de acceso inseguras. Utilizar nombres de usuario por
defecto y contraseñas débiles (fáciles de adivinar) o por defecto en los
sistemas son un riesgo. Cuando se utilizan credenciales poco robustas,
sin una longitud y tipo de caracteres apropiados, los ciberdelincuentes
podrían llegar a descubrirlas fácilmente. De la misma forma, si se usan
credenciales por defecto estas pueden encontrarse generalmente en los
manuales publicados en Internet por el desarrollador.
3.1.3. ¿Qué hacer en caso de sufrir una fuga de información?
Las fugas de información deben gestionarse adecuadamente, una gestión
inadecuada puede magnificar el efecto negativo del incidente. El plan
que se propone a continuación ha sido obtenido de la guía “Cómo gestionar
una fuga de información, una guía de aproximación al empresario [REF - 16]”.
La gravedad del incidente y el contexto en el que se produzca hace que los
diferentes pasos se adapten al escenario específico.
Cuando una fuga de información afecta a datos personales [REF - 17], la empresa
1
está obligada a notificar el incidente a la Agencia Española de Protección
de Datos, autoridades pertinentes u organismos equivalentes [REF - 18], y
a las personas cuyos datos se hayan visto afectados para que puedan tomar
las medidas oportunas en un plazo máximo de 72 horas desde su conocimiento.
1 Toda información sobre una persona física identificada o identificable («el afectado»). Se considerará
persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
203
Tabla 1 Resumen de acciones para gestionar una fuga de información
3.1.4. ¿Cómo reducir el riesgo?
Para prevenir las fugas de información, se deben aplicar medidas tanto a nivel
organizativo, como técnico y legal. El conjunto de estas medidas reducirá la
posibilidad de sufrir un incidente que afecte a la confidencialidad de la información.
» Medidas organizativas. Este tipo de medidas de seguridad afectan a la
metodología de trabajo y organización con la que cuenta la empresa. Las
más destacadas son:
Definir una política de seguridad y procedimientos para todo el
ciclo de vida de los datos [REF - 19].
Establecer un sistema de clasificación de la información [REF - 20],
para ligarlo a roles y niveles de acceso.
Llevar a cabo acciones de formación y concienciación en
ciberseguridad [REF - 21].
Implantar un sistema de gestión de seguridad de la información
[REF - 22].
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
213
» Medidas técnicas. Estas medidas tendrán como objetivo limitar los accesos
no autorizados a la información, tanto por ciberdelincuentes como por los
propios empleados, mediante una serie de herramientas software:
Implantar un sistema de control de acceso e identidad [REF - 23].
Soluciones anti-malware [REF - 24] y anti-fraude, seguridad
perimetral y protección de las telecomunicaciones.
Control de contenidos, monitorización de tráfico y copias de
seguridad [REF - 25].
Control de acceso a los recursos, actualizaciones de seguridad y
parches.
Implantar herramientas DLP [REF - 26] (Data Loss Prevention).
» Medidas legales. Las medidas legales servirán a la empresa para seguir
la legislación vigente y poder tomar medidas contra empleados que filtren
información deliberadamente:
Establecer acuerdos de confidencialidad [REF - 27].
Solicitud de aceptación de la política de seguridad y de la de
conformidad por parte de los empleados.
Medidas relativas a la adecuación y cumplimiento de la legislación
aplicable (LOPDGDD, LSSI, etc.).
Cualquier otra medida de carácter disuasorio en base a la
legislación vigente.
3.2. Ataques de tipo phishing
Los ataques de tipo phishing son el principal método utilizado por los
ciberdelincuentes para robar información confidencial, como nombres de usuario
y contraseñas o datos bancarios.
3.2.1. ¿Qué es un phishing?
Un phishing es un tipo de fraude cometido generalmente a través del correo electrónico,
aunque pueden utilizar otros medios, como mensajes SMS (smishing), redes sociales,
aplicaciones de mensajería instantánea o llamadas telefónicas (vishing), cuyo objetivo
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
223
principal es robar información confidencial y credenciales de acceso. Para
lograr engañar a la víctima, los ciberdelincuentes suelen suplantar la identidad
de empresas y organizaciones reconocidas, comúnmente aquellas de las que
pretenden robar la información, como por ejemplo entidades bancarias, empresas
del sector de la energía, de logística, etc.
Como técnica principal, los ciberdelincuentes suelen falsear la dirección del
remitente, como ya se comentó en el apartado de ingeniería social, para que
simule proceder de la entidad legítima cuando en realidad el mensaje procede
de otra fuente. A esta técnica se la denomina email spoofing o suplantación de la
dirección correo electrónico [REF - 28].
Los ataques de tipo phishing, además del correo electrónico falso, comúnmente,
en el cuerpo del mensaje contienen un enlace que lleva a una página web
fraudulenta que tiene la misma estética que la página web legítima a la que intenta
suplantar. En dicha web fraudulenta se solicita la información confidencial que se
quiere sustraer, generalmente información personal, credenciales de acceso e
información financiera. Para ofrecer más veracidad, la web fraudulenta suele
utilizar un nombre de dominio similar al legítimo, siempre buscando como
objetivo que las potenciales víctimas caigan en el engaño.
Una vez que la víctima del ataque ha facilitado toda la información que los
ciberdelincuentes solicitan en la web fraudulenta, el usuario suele ser
redirigido a la página web legítima de la empresa suplantada con el fin
de que el fraude pase el mayor tiempo desapercibido antes de que la
víctima denuncie el hecho.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
233
En la sección “Avisos de seguridad” [REF - 29] se publican regularmente alertas
de ciberseguridad entre las que se incluyen campañas de phishing [REF - 30].
Algunos ejemplos de comunicaciones fraudulentas de esta tipología son:
Ilustración 4 Campaña de correos fraudulentos
solicitando el pago de un supuesto paquete
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
243
Ilustración 5 Campaña de phishing solicitando información
confidencial alegando un supuesto fortalecimiento de la seguridad
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
253
Ilustración 6 Campaña de phishing por SMS
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
263
3.2.2. ¿Cómo identificar un ataque de phishing y poder prevenirlo?
Los ataques de tipo phishing suelen contener factores que facilitan su detección,
y por lo tanto poder evitar ser víctima de este tipo de fraude. Los principales
aspectos a analizar son:
Nuevo mensaje recibido
De: Banco Remitente desconocido,
no coincide con la entidad
Asunto: Tu cuenta ha sido bloqueada
BANCO
Ingeniería social,
genera situación de alarma
Hola cliente,
Tu cuenta ha sido bloqueada. Faltas de ortografía, una entidad
Motivo: alta de información. legítima no las tendría
Detalles:
Falta de información personal.
Falta información de facturación.
Falta información de la tarjeta de crédito.
Haga click en el enlace y siga los pasos para desbloquear su cuenta. Enlace, una entidad legítima
no pone enlaces
ENVIAR PETICIÓN
Este mensaje va dirigido, de manera exclusiva, a su destinatario y puede contener información
confidencial y sujeta al secreto profesional, cuya divulgación no está permitida por Ley.
Firma de correo distinta a
la habitual
RESPONDER
IIlustración 7 Ejemplo de correo electrónico fraudulento
» Remitente. Los correos de tipo phishing en ocasiones contienen remitentes
que no coinciden con la organización a la que supuestamente
representan, este es el primer indicador que ha de comprobarse. Por
ejemplo, un correo que supuestamente procede de una entidad bancaria
tendría un remitente cuyo dominio coincidiría con la entidad a la que
representa, si dicho dominio no coincide es un síntoma de fraude.
En otras ocasiones los ciberdelincuentes utilizan la técnica email spoofing, que
consiste en falsear el remitente haciendo que parezca proceder de la entidad
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
273
legitima cuando en realidad no es así. Para comprobar si el remitente
realmente es el que figura en el correo se deben analizar las cabeceras
del mismo, para ello puedes seguir las instrucciones facilitadas en el artículo
¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos [REF - 7].
» Necesidad de llevar a cabo la petición de manera urgente. La
ingeniería social es el componente esencial en los correos electrónicos de
tipo phishing. Los ciberdelincuentes suelen alertar a las víctimas sobre
situaciones negativas a las que tendrán que hacer frente a no ser que
sigan las instrucciones que facilitan, las cuales suelen ser acceder a una
página web fraudulenta e introducir la información que solicitan, visualizar
un archivo (malicioso), etc. Algunos de los ganchos más utilizados son la
cancelación del servicio o cuenta, multas, sanciones por no acceder en
tiempo y forma, etc. Son muchas las artimañas utilizadas cuyo fin es forzar
al usuario a realizar una determinada acción a través de una coacción.
Durante la pandemia sufrida por el COVID-19 los ciberdelincuentes se
adaptaron para utilizar señuelos basados en esta temática y cualquier
aspecto que pudiera englobarla, como los ERTE, ayudas gubernamentales,
remedios milagrosos, posibles sanciones, e incluso multas de tráfico cuando
comenzaba la movilidad entre comunidades. Todos ellos fueron recopilados
por INCIBE bajo la etiqueta #CiberCOVID19 [REF - 31].
» Enlaces falseados. Los enlaces ofuscados son una parte fundamental
de este tipo de fraude. En la mayoría de las ocasiones es la vía esencial
que utilizan los ciberdelincuentes para robar la información confidencial.
Los enlaces suelen aparentar que corresponden a la web legítima
o sencillamente contienen un texto haciendo referencia a que sea
seleccionado o “clicado”. Para comprobar a dónde apunta realmente el
enlace, se puede situar el ratón encima y comprobar el cuadro de dialogo
que figura en la parte inferior de la pantalla con la verdadera dirección.
También se pueden utilizar herramientas online, como:
Informe de transparencia de Google [REF - 32]
Free website security check & malware scanner [REF - 33]
Virustotal [REF - 34]
URL haus [REF -35]
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
283
En otras ocasiones los enlaces pueden estar acortados, no siendo posible visualizar
su destino si no se utilizan herramientas específicas como:
Unshorten.It! [REF - 36]
Se ha de tener especial cuidado al acceder a enlaces en correos electrónicos,
siendo preferible acceder introduciendo la dirección web directamente en el
navegador o utilizando la aplicación oficial de la entidad. Las entidades legítimas,
como las financieras, nunca solicitarán a los clientes credenciales de acceso en
comunicaciones por correo electrónico.
» Comunicaciones impersonales. Las comunicaciones de entidades legítimas
suelen referirse a su destinatario utilizando nombre y apellidos, por el
contrario los ciberdelincuentes no suelen conocer esos datos personales por
lo que las comunicaciones son impersonales. Recibir un mensaje procedente
de una supuesta organización de la que se es cliente y que no contenga datos
personales, como nombre y apellidos, es un síntoma de fraude.
» Errores ortográficos y gramaticales. Una auténtica comunicación de
cualquier entidad no contendrá errores ortográficos o gramaticales, ya
que la comunicación con sus clientes es un aspecto muy cuidado.
» Firmas y estética del correo. La estética y la firma del correo electrónico
es otro factor a considerar. Cuando se está familiarizado con los correos
de una determinada organización y una comunicación no sigue ese patrón,
es un síntoma de fraude.
En caso de no haber detectado el ataque en la comunicación, es posible identificarlo
por la web fraudulenta a la que redirige. Para ello lo principal es analizar el nombre
de dominio web y su certificado digital, ya que estos son datos que no pueden
ser falsificados fácilmente. Puedes aprender a identificar enlaces fraudulentos por
medio del recurso formativo 04 El correo electrónico, Principales fraudes y
riesgos disponible en el Kit de concienciación [REF - 21].
3.2.3. ¿Qué hacer en caso de sufrir un ataque de phishing?
Cuando se es víctima de un ataque de phishing, lo principal, si se han introducido
las credenciales en el sitio malicioso, es modificar la contraseña de acceso del
servicio suplantado y cualquier otro servicio en el que se utilicen las mismas
credenciales. También es importante contactar con la entidad suplantada y
con INCIBE-CERT [REF - 37] para que esté informada de lo sucedido y pueda
adoptar las medidas necesarias para proteger la información de sus clientes.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
293
3.3. Fraude del CEO (spear phishing)
El fraude del CEO, spear phishing o BEC por sus siglas en inglés
Bussines Email Compromise, consiste en una técnica llevada
a cabo por los ciberdelincuentes para robar fondos de las
empresas suplantando la identidad de un alto directivo.
3.3.1. ¿Qué es el fraude del CEO?
El fraude del CEO se trata de un ataque dirigido contra una
víctima en concreto, de la cual se ha recopilado información
previamente por distintos medios, como la página web
corporativa, redes sociales “profesionales” o cualquier otro
medio, cuyo objetivo es hacer que el ataque sea más creíble.
“El fraude del CEO,
spear phishing o En este fraude se atacan 2 objetivos de la misma organización:
BEC por sus siglas en un alto directivo de la empresa y un empleado con
inglés Business Email capacidad para poder realizar transferencias bancarias. Los
Compromise, consiste ciberdelincuentes suplantan la identidad de un alto
en robar fondos directivo y solicitan a un empleado, con capacidad de
de las empresas realizar transacciones financieras, una transferencia de
suplantando la dinero, que generalmente suele ser de un monto importante,
identidad de un alto alegando cerrar una operación reseñable en la que se está
directivo ” trabajando. Las comunicaciones suelen producirse por medio
del correo electrónico y utilizando direcciones falseadas,
email spoofing o typosquatting, y la misma estética utilizada
habitualmente, aunque a veces se usa la dirección legítima del
directivo que previamente se ha comprometido. Esta técnica
suele ser llevada a cabo por los ciberdelincuentes, coincidiendo
con la ausencia del directivo suplantado de la sede, debido a
viajes de negocio o cualquier otra eventualidad. Así se dificulta
verificar la comunicación.
El empleado, al comprobar que la comunicación proviene
de un alto directivo, no suele dudar de la solicitud y realiza la
transferencia bancaria, produciéndose finalmente el fraude. En
muchas ocasiones la solicitud de transferencia va acompañada
de una petición de urgencia y confidencialidad, buscando
como objetivo que el empleado no se comunique con otros
compañeros y que el fraude se realice con la mayor brevedad
posible.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
303
Este tipo de ataques dirigidos suelen estar orientados a organizaciones de tamaño
medio o grande, donde el rédito económico es mayor.
En el artículo del blog Historias reales: el fraude del CEO [REF - 38] se muestra el caso
de una empresa que sufrió este tipo de ataque y las consecuencias que pudo llegar a
tener para la organización en caso de haberse perpetrado.
A continuación se muestra el flujo de correos de uno de estos ataques, en el que se
sigue la mecánica indicada en la Ilustración 1 Fases de un ataque de ingeniería social:
Ilustración 8 Correo inicial del ataque del fraude del CEO
Ilustración 9 Respuesta del empleado objetivo del ataque del fraude del CEO
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
313
Ilustración 10 Continuación del ataque del fraude del CEO.
En el fraude del CEO [REF - 39], la comunicación terminaría ofreciendo
información relativa al saldo disponible por parte de la empresa y solicitando una
transferencia acorde al balance positivo, por parte del ciberdelincuente, a una
cuenta controlada por él.
3.3.2. ¿Cómo identificar un ataque de fraude del CEO y poder
prevenirlo?
Para poder identificar uno de estos fraudes, se deben seguir estos pasos:
VERIFICAR POR OTRO MEDIO DE COMUNICACIÓN
COMPROBAR EL REMITENTE
REVISAR SOLICITUDES URGENTES Y CONFIDENCIALES
REVISAR LA ORTOGRAFÍA Y EXPRESIÓN
ANALIZAR LA ESTÉTICA DEL CORREO
Ilustración 11 Pautas para identificar fraudes del CEO
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
323
» Verificar por otro medio de comunicación. Es recomendable no responder
nunca al correo recibido y siempre verificar la solicitud por otro canal de
comunicación, como puede ser un nuevo correo electrónico a otro empleado
de la organización, una llamada por teléfono o a través de aplicaciones de
mensajería instantánea, etc. Esta es la mejor opción para verificar de forma
inequívoca si la comunicación es un fraude o es legítima. En algunas ocasiones
los ciberdelincuentes utilizan tecnologías basadas en la inteligencia artificial
para simular la voz del directivo [REF - 40] y así dotar de un extra a la
comunicación fraudulenta.
Un método utilizado en diferentes organizaciones para autorizar
operaciones sensibles, como una importante transferencia bancaria,
consiste en utilizar un código secreto que únicamente estará en posesión
del personal autorizado a realizar transferencia y los altos directivos. De
esta forma se podrá verificar si la comunicación es legítima o no. Este
código es recomendable que sea renovado periódicamente.
» Comprobar el remitente. Este es el primer factor a analizar, un remitente
cuyo nombre de dominio no coincida con el corporativo es un síntoma
de fraude. En ocasiones los ciberdelincuentes pueden utilizar diferentes
técnicas, como es el cybersquatting, para comprar dominios similares al
de la empresa con el fin de engañar a los objetivos del ataque. También
pueden utilizar la técnica del email spoofing por lo que conviene verificar la
procedencia del correo en caso de tratarse de solicitudes inusuales o que
impliquen cualquier tipo de transferencia bancaria.
» Revisar solicitudes urgentes y confidenciales. Cualquier solicitud
que provenga de un alto directivo, que vaya acompañada de urgencia y
confidencialidad, debe poner en alerta a los empleados, ya que puede
tratarse de un intento de fraude.
» Revisar la ortografía y expresión. En ocasiones los correos recibidos
contienen faltas de ortografía o expresiones poco comunes o inusuales, como
las generadas por traductores automáticos.
» Analizar la estética del correo. Generalmente los correos de una
organización en concreto siempre utilizan la misma estética, como
sellos, logotipos, información legal, etc. Cuando uno de estos elementos
difiere de los habituales, es un síntoma de correo fraudulento salvo que
se haya comprometido la cuenta de correo del directivo suplantado.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
333
3.3.3. ¿Qué hacer en caso de sufrir un ataque de
fraude del CEO?
En caso de sufrir un incidente de este tipo se recomienda
interponer una denuncia ante las Fuerzas y Cuerpos de
Seguridad del Estado [REF - 9], aportando todas las pruebas
posibles. También es recomendable ponerse en contacto con
la entidad bancaria informándoles de lo sucedido ya que puede
darse la situación de que sea posible cancelar la transferencia.
3.4. Fraude de RR.HH.
“En caso de sufrir
un incidente de este El fraude de RR.HH. [REF - 41] utiliza técnicas similares al fraude
tipo se recomienda del CEO pero en esta ocasión las víctimas son el personal
interponer una de recursos humanos de la empresa y un empleado al que
denuncia ante las suplantan su identidad.
Fuerzas y Cuerpos de
Seguridad del Estado” 3.4.1. ¿Qué es el fraude de RR.HH?
En la comunicación, el ciberdelincuente se hace pasar por
un empleado de la empresa y solicita que el siguiente
ingreso correspondiente a su nómina se realice a un
nuevo número de cuenta controlado por el estafador.
Para perpetrar el ataque, los ciberdelincuentes han realizado
un estudio previo de la empresa víctima, identificando a los
empleados del departamento de RR.HH., los empleados con
los que cuenta la empresa, la entidad financiera con la que
trabaja y las cuentas de correo electrónico utilizadas. Al igual
que otros tipos de fraudes, para dotar de más veracidad a
la comunicación fraudulenta, los ciberdelincuentes utilizan
técnicas de email spoofing o cybersquatting.
Ilustración 12 Correo de tipo fraude de RR.HH.
Ciberamenazas contra entornos empresariales. Una guía de aproximación para el empresario
34También puede leer
